【文章內(nèi)容簡介】 ......37 表 Linux ARP 狀態(tài)轉(zhuǎn)化意義 ......................................................................40 圖 Linux ARP 狀態(tài)機(jī) .................................................................................41 圖 四源綁定原理圖 ....................................................................................45 圖 防端口掃描數(shù)據(jù)結(jié)構(gòu)的組織關(guān)系 ........................................................51 圖 防端口掃描命中函數(shù)流程圖 ................................................................54 浙江大學(xué)碩士學(xué)位論文 目錄 IV 表目錄 表 Linux ARP 狀態(tài)轉(zhuǎn)化意義 ......................................................................40 浙江大學(xué)碩士學(xué)位論文 第 1 章 緒論 1 第 1章 緒論 課題背景 網(wǎng)絡(luò)安全發(fā)展 TCP/IP 是現(xiàn)在 Inter 上使用的最流行的協(xié)議 之一 ，它 大概在 70 年代 的時(shí)候 被開發(fā)出來，并最終與 Linux 結(jié)合在一起，從那 時(shí)候 起，它就成為了 Inter的 標(biāo)準(zhǔn) 之一 。 如 今 ，幾乎所有 的 計(jì)算機(jī)都運(yùn)行著某種形式的 TCP/IP 協(xié)議。 TCP/IP協(xié)議 可以在各種不同的硬件和操作系統(tǒng)上工作，因而利用 TCP/IP 可以迅速方便地創(chuàng)建一個(gè)網(wǎng)絡(luò) 系統(tǒng) 。但是， 在 1966 年 Inter 剛剛 創(chuàng) 建 的時(shí)候 ， 當(dāng)時(shí)的 創(chuàng)始者 沒有對(duì)安全問題考慮的太多。當(dāng)時(shí)創(chuàng)建者注重的是網(wǎng)絡(luò)的 通信 功能，因此Inter 和 TCP/IP 并沒有被過多的考慮安全性 的 問題 。所以現(xiàn) 有 的安全機(jī)制被經(jīng)常 拿來 修改以適應(yīng)現(xiàn)有的網(wǎng)絡(luò)和 TCP/IP 協(xié)議 。 經(jīng)過時(shí)間的推移，網(wǎng)絡(luò)攻擊的手段和技術(shù)也不斷的更新，用戶也對(duì)網(wǎng)絡(luò) 設(shè)備 提出更高的要求， 網(wǎng)絡(luò)設(shè)備 也要對(duì)這些攻擊有 一定的防御 能力。隨著網(wǎng)絡(luò)攻擊手段的不斷變化和發(fā)展，網(wǎng)絡(luò) 設(shè)備 的防攻擊能力也隨之不斷 的提高。 低端路由器安全問題 本論文主要研究如何在 低端 路由器 上實(shí)現(xiàn)一些預(yù)防網(wǎng)絡(luò)攻擊的模塊，原來在一般的網(wǎng)絡(luò)中 防攻擊的功能都集中在高端的防火墻和 IDS 中，這些高端的設(shè)備功能極強(qiáng)，能防止網(wǎng)上能夠很多的攻擊手段。所以在高端的組網(wǎng)中，網(wǎng)絡(luò)的安全性往往較高。但在低端的市場(chǎng)中，由于組網(wǎng)經(jīng)費(fèi)上的限制，設(shè)備和組網(wǎng)往往比較簡單，不可能有專門的防火墻和入侵檢測(cè)系統(tǒng)。如：中小企業(yè)網(wǎng)和一般的網(wǎng)吧中只有一臺(tái)簡單的路由器和幾臺(tái)簡單的交換機(jī)。不會(huì)有專業(yè)的防火墻和IDS 這些貴重的設(shè)備，所以這些企業(yè)和小網(wǎng)吧經(jīng)常受到各種網(wǎng)絡(luò)的攻擊，用戶在網(wǎng)吧中頻頻掉線，網(wǎng)速大受影響。如今，網(wǎng)絡(luò)攻擊的手段和技術(shù)也不斷的更新，像當(dāng)前比較流行的 ARP攻擊的產(chǎn)生，迫使低端 的路由器也有防 ARP的一些功能。 浙江大學(xué)碩士學(xué)位論文 第 1 章 緒論 2 主要的工作和 方法 本文主要根據(jù)用戶的需求對(duì)一些典型網(wǎng)絡(luò)攻擊進(jìn)行了研究。 分析每一這種攻擊的原理和方法， 并根據(jù)分析的結(jié)果，針對(duì)每一種典型的攻擊手法，在 Liunx系統(tǒng)下實(shí)現(xiàn) 防攻擊的模塊。 并且分析當(dāng)前的防攻擊方法，提出改進(jìn)方法。 本課題旨在通過 對(duì)需求和攻擊的研究 ，根據(jù) TCP/IP 的通信原理提出滿足低端路由器防攻擊的合理方案 。 低端路由器防攻擊需求 低端路由器的用戶群體 低端路由器的市場(chǎng)十分廣闊，包括中小企業(yè)、網(wǎng)吧、醫(yī)院、大酒店、高校，甚至可以是家庭用戶。這些群體對(duì)于路由器的安全需求雖 然沒有政府和電信機(jī)房的要求那么高，但是也有 對(duì)網(wǎng)絡(luò)安全性的基本需求 。 低端用戶對(duì)防攻擊的需求 中小企業(yè)：該組網(wǎng)主要完成企業(yè)內(nèi)部協(xié)同工作交流，在內(nèi)網(wǎng)內(nèi)架設(shè)服務(wù)器，防止員工做一些有害網(wǎng)絡(luò)的服務(wù)，防止惡意軟件的 ARP 攻擊，防止惡意黑客從外網(wǎng)發(fā)起的惡意攻擊。 網(wǎng)吧：該組網(wǎng)情況下對(duì)防攻擊要求更加高，即要防止內(nèi)網(wǎng)惡意用戶發(fā)起的攻擊，又要兼顧外網(wǎng)惡意攻擊核心路由器，導(dǎo)致核心路由器的癱瘓。 家庭用戶：主要防止瀏覽有病毒的網(wǎng)站，防止外網(wǎng)對(duì)內(nèi)網(wǎng)的一些攻擊。 滿足用戶需求的路由器 防攻擊 路由器必須滿足用戶需求。針對(duì)以上三種用戶的需 求，路由器的防攻擊必須滿足以下幾點(diǎn)： （ 1）必須能防御內(nèi)網(wǎng)攻擊。內(nèi)網(wǎng)的攻擊，針對(duì)網(wǎng)吧來說，最主要的就是 ARP攻擊和 ARP 欺騙。針對(duì)企業(yè)，除了防 ARP 以外，還要防止惡意用戶接入內(nèi)網(wǎng)造成危害。 （ 2）其次要能控制內(nèi)網(wǎng)用戶訪問外網(wǎng)危險(xiǎn)的服務(wù)?？刂凭W(wǎng)內(nèi)用戶的服務(wù)，必須浙江大學(xué)碩士學(xué)位論文 第 1 章 緒論 3 要用到訪問控制列表 (ACL)，用該技術(shù)來嚴(yán)格控制報(bào)文。 （ 3）能防御外網(wǎng)發(fā)起的各種攻擊。外網(wǎng)發(fā)起的攻擊主要是一些拒絕服務(wù)的攻擊來消耗設(shè)備的 CPU,降低設(shè)備的性能，從而使設(shè)備不能轉(zhuǎn)發(fā)正常的報(bào)文。所以 路由器 要能識(shí)別異常的流量報(bào)文，當(dāng)報(bào)文流量達(dá)到 路由器 規(guī)定的閥值時(shí)，就認(rèn)為是攻擊報(bào)文，從而達(dá)到保護(hù)設(shè)備的目的。 本文結(jié)構(gòu)組織 第一章 ：緒論 主要描述了低端路由器防攻擊的背景和現(xiàn)在尷尬的處境，本文要解決的防攻擊的意義。描述了用戶對(duì)防攻擊路由器的需求，本文研究的方法和要解決的問題。 第二章：數(shù)據(jù)通信領(lǐng)域安全的測(cè)試方法 分析網(wǎng)絡(luò)攻擊必須了解攻擊報(bào)文和網(wǎng)絡(luò)設(shè)備，本章就簡單的從 TCP/IP 的角度描述了攻擊報(bào)文的構(gòu)造和網(wǎng)絡(luò)設(shè)備的基本概念。 第三章：針對(duì)低端路由器的攻擊 本章從客戶需求分析 出用戶主要想防范的典型的攻擊： ARP 攻擊、木馬病毒和 DOS 攻擊，詳細(xì)的分析了各種 攻擊的手法和原理。 第四章：訪問控制控制用戶訪問 本章詳細(xì)分析了 ACL訪問控制列表技術(shù)。通過該技術(shù)來實(shí)現(xiàn)網(wǎng)頁訪問的控制和用戶接入的控制來防止用戶訪問不安全的網(wǎng)站受到木馬的攻擊。 第五章：低端路由器防 ARP 攻擊的實(shí)現(xiàn) 詳細(xì)分析了 Linux 系統(tǒng)中的 ARP 原理，在 Linux 系統(tǒng)下實(shí)現(xiàn) IP/MAC 綁定原理。提出 IP/MAC 綁定防 ARP 的缺陷，提出四源綁定機(jī)制來徹底防住 ARP 攻擊。 第六章：防 DOS 攻擊和防端口掃描攻擊 在 Linux系統(tǒng)下實(shí)現(xiàn)防 DOS 攻擊和防端口掃描攻擊。 第七章：低端路由器防攻擊總結(jié) 浙江大學(xué)碩士學(xué)位論文 第 1 章 緒論 4 對(duì)本文防攻擊的 回顧，總結(jié)主要研究和創(chuàng)新，提出優(yōu)點(diǎn)和不足，提出以后應(yīng)該改進(jìn)的方面。 本章小結(jié) 隨著計(jì)算機(jī)技術(shù)的不斷發(fā)展，人們對(duì)網(wǎng)絡(luò)安全的要求越來越高，不單單那些大型的企業(yè)和政府需要有安全設(shè)備的保護(hù)，不受黑客的攻擊。普通的小企業(yè)和個(gè)人電腦用戶也對(duì)自己的隱私和安全更加重視。中小企業(yè)用戶的需求也不能視而不見?，F(xiàn)在業(yè)界對(duì)低端的路由器也要求有基本的防攻擊能力，一般的僅僅能進(jìn)行報(bào)文快速轉(zhuǎn)發(fā)的路由器已經(jīng)不能滿足用戶的需求。 低端路由器的其他性能也在不斷的向高端靠近，但在成本上卻是要有嚴(yán)格的控制，在低成本的情況下做出高效的有安全模塊的低端 路由器，幾乎是每個(gè)通信公司努力的方向。低端 設(shè)備 也要向更高的安全性方向發(fā)展。 浙江大學(xué)碩士學(xué)位論文 第 2 章 數(shù)據(jù)通信領(lǐng)域安全測(cè)試方法 5 第 2章 數(shù)據(jù)通信領(lǐng)域安全測(cè)試方法 網(wǎng)絡(luò)安全測(cè)試 網(wǎng)絡(luò)攻 擊從根本上講就是通過構(gòu)造異常的報(bào)文來破環(huán)正常的一些報(bào)文通信規(guī)則，導(dǎo)致一些網(wǎng)絡(luò)設(shè)備工作異常，不能轉(zhuǎn)發(fā)正常的數(shù)據(jù)報(bào)文或者發(fā)出異常的數(shù)據(jù)報(bào)文。 在數(shù)據(jù)通信安全領(lǐng)域安全的測(cè)試方法歸根到底也是要分析 異常的 數(shù)據(jù)報(bào)文 對(duì)網(wǎng)絡(luò)設(shè)備的影響 ，所以對(duì)網(wǎng)絡(luò)攻擊的分析就是對(duì)攻擊報(bào)文的分析 和對(duì)網(wǎng)絡(luò)設(shè)備的影響 。所以接下來要討論攻擊報(bào)文的構(gòu)造 和網(wǎng)絡(luò)設(shè)備的概念 。 報(bào)文構(gòu)造 網(wǎng)絡(luò)協(xié)議的分層思想 網(wǎng)絡(luò)協(xié)議一般都按照不同的層次來 開發(fā)，各個(gè)層次都會(huì)有自己的功能和用處，每個(gè)層次也有不同的 協(xié)議族。每個(gè)協(xié)議族都維護(hù)著各自的協(xié)議。通信的時(shí)候，報(bào)文就經(jīng)過一層層的解析，然后分析每一層的協(xié)議族來獲取報(bào)文中的信息。 TCP/IP 協(xié)議族一般被分成四層協(xié)議系統(tǒng) ： 4 應(yīng)用層 3 運(yùn) 輸層 2 網(wǎng)絡(luò)層 1 鏈路層 其中的每一層都有不同的功能和作用，一般也都有這一層的特殊協(xié)議 （ 1） 鏈路層 ： 有時(shí)也叫數(shù)據(jù)鏈路層或者接口層 。 一般就是指操作系統(tǒng)中的設(shè)備驅(qū)動(dòng)程序和計(jì)算機(jī)網(wǎng)卡等，它們往往通過電纜和光纖來傳輸類似 0101 的二進(jìn)制代碼，電纜通過電信號(hào)電頻的高低來傳 輸，光纖就通過光信號(hào)來傳輸。 （ 2） 網(wǎng)絡(luò) 層： 又叫互聯(lián)網(wǎng)層，這層主要定義了一個(gè)報(bào)文的怎么樣在網(wǎng)絡(luò)中選路，怎么樣在網(wǎng)絡(luò)中走，應(yīng)該送到哪個(gè)設(shè)備上去 ，應(yīng)該做一些什么事情。比如：這層最有名的協(xié)議就是 IP 協(xié)議了，它主要定義了源 IP 地址和目的 IP 地址，浙江大學(xué)碩士學(xué)位論文 第 2 章 數(shù)據(jù)通信領(lǐng)域安全測(cè)試方法 6 網(wǎng)絡(luò)層主要通過該 IP 地址的信息來把報(bào)文從一個(gè)設(shè)備傳輸?shù)搅硪粋€(gè)設(shè)備。還有ICMP（互聯(lián)網(wǎng)控制報(bào)文協(xié)議），這個(gè)協(xié)議最初主要是用來檢測(cè)網(wǎng)絡(luò)是否能正常通信的協(xié)議。 （ 3） 運(yùn)輸 層： 主要位 PC 機(jī)上的應(yīng)用程序提供端到端的通信 。 在 TCP/IP 協(xié)議族中一般就是指 TCP 協(xié)議（傳輸控制協(xié)議）和 UDP 協(xié)議（用戶數(shù)據(jù)報(bào)協(xié)議）。TCP 一般為 PC 之間提供可靠性極高的傳輸，是有連接的傳輸，在傳輸之前會(huì)先同過一些測(cè)試報(bào)文來把藥傳輸?shù)耐ǖ老冗B接起來，當(dāng)傳輸通道連接起來以后再開始傳輸數(shù)據(jù)報(bào)文，而且當(dāng)報(bào)文傳輸失敗時(shí)，還會(huì)重傳。然而 UDP 相比 TCP 而言就是一個(gè)很簡單的協(xié)議了 ，它只是負(fù)責(zé)把報(bào)文從一端傳輸?shù)搅硗庖欢尉涂梢粤?，是否傳輸失敗或者丟包，它都不會(huì)去關(guān)心。 （ 4） 應(yīng)用層 ： 這一層主要負(fù)責(zé) PC 上各種應(yīng)用程序的通信細(xì)節(jié) 。 應(yīng)用層最主要的就是端口號(hào)，一般的應(yīng)用程序都是通過不同的端口號(hào)來進(jìn)行相互的通信的，端口號(hào)可以從 0 到 65535。比如 FTP 就是用 TCP 目的端口號(hào) 20和 21 來傳輸報(bào)文的，通過 20 端口來建立傳輸通道，當(dāng)傳輸通道建立好了以后，再用 21端口來傳輸數(shù)據(jù)報(bào)文。 TFTP 就是用 UDP 目的端口號(hào) 69 來傳輸報(bào)文。還有就是大名鼎鼎的 HTTP 協(xié)議， 用戶 上網(wǎng)打開網(wǎng)頁用的都是該協(xié)議，該協(xié)議就是通過TCP 的目的端口 80 來傳輸報(bào)文的，當(dāng) PC 接收到該報(bào)文后，把報(bào)文中的數(shù)據(jù)部分解析出來就是 HTML文件 ，所以 用戶 在 PC 上就 打開 網(wǎng)頁了。 [1] TCP 報(bào)文的結(jié)構(gòu) 要想測(cè)試設(shè)備安全性，首先需要構(gòu)造報(bào)文，盡管有些工具提供了報(bào)文構(gòu)造的便捷途徑，但是要做構(gòu)造 大量的精確的報(bào)文，必須要掌握最基礎(chǔ)的報(bào)文構(gòu)造原理和方法，就拿構(gòu)造一個(gè) TCP 報(bào)文來說，因?yàn)?TCP 報(bào)文屬于傳輸層報(bào)文，那么必須先構(gòu)造一個(gè)鏈路層報(bào)文，然后在這個(gè)鏈路層報(bào)文的基礎(chǔ)上加上一個(gè)網(wǎng)絡(luò)層的包頭形成三層的報(bào)文網(wǎng)絡(luò)報(bào)文，最后在加上一個(gè) TCP 包頭，就成為了傳輸層的 TCP 報(bào)文。 [1]史蒂文斯 .TCP/IP 詳解 [M].北京 :機(jī)械工業(yè)出版社 ， 20xx. 浙江大學(xué)碩士學(xué)位論文 第 2 章 數(shù)據(jù)通信領(lǐng)域安全測(cè)試方法 7 如何構(gòu)造鏈路層報(bào)文，如圖 該鏈路層報(bào)文包括目的 MAC 地址和源 MAC地址，該 MAC 地址是 6 位的長度，表示了網(wǎng)絡(luò)上網(wǎng)卡的身份。它就想鏈路層的身份證一樣，表示了這張網(wǎng)卡的信息。之后有兩位是類型，該類型表示鏈路層上一層網(wǎng)絡(luò)層的協(xié)議是什么，如果是 OX0800 就表示上層協(xié)議是 IP 協(xié)議，還有IPX 協(xié)議等。 目 的 地 址以 太 網(wǎng) 封 裝 幀源 地 址 類 型 C R C 校 驗(yàn)66 24 1 5 0 0 圖 鏈路層 報(bào)文層格式 構(gòu)造好了二層報(bào)文，只要在其上加一個(gè)網(wǎng)絡(luò)層的 IP 包頭，就成了網(wǎng)絡(luò)層的 IP 報(bào)文，至于 IP 數(shù)據(jù)報(bào)文格式，如圖 所示。 4 位 版 本0 1 5 1 64 位 首 部 長度8 位 服 務(wù) 類 型（ T O S ）3 2 位 源 I P 地 址1 6 位 長 度 （ 字 節(jié) 數(shù) ）1 3 位 片 位 移1 6 位 標(biāo) 志1 3 位 標(biāo) 志8 位 生 存 時(shí) 間（ T T L ）8 位 協(xié) 議 1 6 位 首 部 檢 驗(yàn) 和3 2 位 目 的 I P 地 址選 項(xiàng)數(shù) 據(jù)3 1 圖 IP 數(shù)據(jù)報(bào)文格式及首部中的各個(gè)字段 浙江大學(xué)碩士學(xué)位論文 第 2 章 數(shù)據(jù)通信領(lǐng)域安全測(cè)試方法 8 4 位版本：目前 業(yè)界 用的最廣泛的是 IPV4，就是第四版本的意思，但隨著網(wǎng)絡(luò)中的 IP 地址越來越不夠用了，所以以后 IPV6，就是第六版本的 IP 會(huì)出現(xiàn)，會(huì)來克服 IPV4 地址不足的問題。 4 位首部